Zum Inhalt springen
MeldeKette24MeldeKette24

NIS2-Umsetzungsgesetz Deutschland: Was seit Dezember 2025 gilt

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft. Es betrifft 29.500 Unternehmen in 18 Sektoren und bringt neue Melde-, Registrierungs- und Haftungspflichten.

Was ist das NIS2-Umsetzungsgesetz (NIS2UmsuCG)?

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt die EU-Richtlinie NIS2 (Network and Information Security Directive 2) in deutsches Recht um. Es ist am 6. Dezember 2025 in Kraft getreten und ersetzt das bisherige IT-Sicherheitsgesetz 2.0.

Wer ist betroffen? Die 29.500 NIS2-Pflichtigen

Das NIS2UmsuCG betrifft schätzungsweise 29.500 Unternehmen in Deutschland — deutlich mehr als das Vorgängergesetz. Betroffen sind Unternehmen in 18 Sektoren, die die Schwellenwerte überschreiten:

  • Wichtige Einrichtungen: ab 50 Mitarbeitern oder 10 Mio. EUR Jahresumsatz
  • Besonders wichtige Einrichtungen: ab 250 Mitarbeitern oder 50 Mio. EUR Jahresumsatz

Stand April 2026 waren erst rund 11.500 der 29.500 Pflichtigen beim BSI registriert — 18.000 haben die Registrierungsfrist (06.03.2026) verpasst.

Die wichtigsten Pflichten im Überblick

  • Registrierungspflicht: Alle NIS2-Pflichtigen mussten sich bis zum 06.03.2026 beim BSI registrieren. Nachregistrierung ist möglich, aber Bußgelder drohen.
  • Meldepflicht (§32 BSIG): Erhebliche Sicherheitsvorfälle müssen in drei Stufen gemeldet werden: 24h Frühwarnung, 72h Vorfallsmeldung, 30 Tage Abschlussbericht.
  • Risikomanagement (§30 BSIG): Technische und organisatorische Maßnahmen zur Cybersicherheit müssen implementiert und dokumentiert werden.
  • Geschäftsleiterhaftung (§38 BSIG): GF und Vorstände haften persönlich für die Umsetzung der Sicherheitsmaßnahmen.

Bußgelder nach §65 BSIG

Das NIS2UmsuCG sieht deutlich höhere Bußgelder vor als das Vorgängergesetz:

  • Besonders wichtige Einrichtungen: bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
  • Wichtige Einrichtungen: bis 7 Mio. EUR oder 1,4 % des weltweiten Jahresumsatzes
  • Zusätzlich: persönliche GF-Haftung nach §38 BSIG

Was Unternehmen jetzt tun müssen

Priorität 1: BSI-Registrierung nachholen (Frist abgelaufen). Priorität 2: Meldeprozess für erhebliche Sicherheitsvorfälle implementieren. MeldeKette24 liefert den strukturierten Notfallprozess für die ersten 24 Stunden.

MeldeKette24: Der BSI-Meldeketten-Wizard für den Ernstfall

Kein GRC-Overbau. Triage-Engine, Frist-Timer und BSI-PDF-Export — sofort einsatzbereit. Jetzt kostenlos in der Beta.

Kostenlosen Beta-Zugang sichern

Keine Kreditkarte · Kündigung jederzeit · Daten in Deutschland

Weiterführende Leitfäden

NIS2-Meldepflicht erklärt§32 BSIG LeitfadenNIS2 vs. KRITIS-DachGNIS2-Pflicht-Check